Die massive Lücke in macOS High Sierra war bereits länger bekannt und Apple hatte erste Hinweise verschlafen. Erst, als Informationen darüber in Apples Twitteraccount auftauchten, handelte man.
Es ist ein Beleg für beklagenswert schlecht gelaufene Kommunikation bei Apple: Die massive Sicherheitslücke in macOS High Sierra war bereits am 23. November an Apple berichtet worden, von einem türkischen Entwickler, dessen Firma mehr aus Zufall darauf gestoßen war.
Lücke schon länger bekannt
Weil ein Mitarbeiter nicht mehr aus dein Admin-Konto zugreifen konnte, hatte man in seiner Firma ein wenig herumgespielt und war schließlich darauf gestoßen, dass sich ohne Passwort ein Root-Benutzer auf dem Mac anlegen lässt, der praktisch über unbegrenzte Macht verfügt, das geht aus einem Blog-Post hervor. Über diesen doch sehr bedenklichen Umstand informierte man Apple, doch zunächst passierte nichts. Dabei wurde das Problem in Entwicklerforen bereits seit dem 13. November diskutiert, ohne dass Apple aktiv geworden wäre.
Dear @AppleSupport, we noticed a *HUGE* security issue at MacOS High Sierra. Anyone can login as "root" with empty password after clicking on login button several times. Are you aware of it @Apple?
— Lemi Orhan Ergin (@lemiorhan) 28. November 2017
Erst aufgrund eines Tweets an Apples Support-Account auf Twitter wurde man in Cupertino munter und lieferte dann tatsächlich sehr schnell ein Hotfix, das die Lücke schloss. Doch der Umstand, dass eine so gravierende Lücke so lange nicht bemerkt wurde, stimmt etwas nachdenklich.